Tags:
Node Thumbnail

Let's Encrypt ประกาศเพิ่ม Root CA และ Intermediate CA ชุดใหม่สำหรับใช้ลายเซ็นดิจิทัลแบบ ECDSA P-384 ที่มีขนาดกุญแจสาธารณะเพียง 48 ไบต์ และขนาดลายเซ็น 96 ไบต์ เทียบกับ RSA-2048 ที่มีขนาดกุญแจสาธารณะถึง 256 ไบต์ และขนาดลายเซ็น 400 ไบต์ ทำให้ใบรับรองแต่ละใบที่มีทั้งกุญแจสาธารณะและลายเซ็น จะมีขนาดลดลงประมาณ 350 ไบต์

Root CA ตัวใหม่จะใช้ชื่อ "ISRG Root X2" ได้รับรองจาก "ISRG Root X1" ที่ได้อยู่ในฐานข้อมูลส่วนมากอยู่แล้ว โดย Root CA ใหม่จะมีอายุถึงปี 2040 แต่การออกใบรับรองจริงจะใช้ Intermediate CA สองตัว ได้แก่ Let's Encrypt E1 และ Let's Encrypt E2 ที่มีอายุ 5 ปี

Tags:
Node Thumbnail

อัพเดตต่อจากข่าว Mozilla ระงับบริการส่งไฟล์ Firefox Send ชั่วคราว หลังถูกใช้เป็นแหล่งกระจายมัลแวร์

ล่าสุด Mozilla ประกาศปิดบริการ Firefox Send (ร่วมกับบริการอีกตัวคือ Firefox Note) อย่างถาวร ด้วยเหตุผลเดิมคือถูกใช้เป็นแหล่งปล่อยมัลแวร์ และปัจจัยเรื่อง Mozilla ต้องปรับโครงสร้างองค์กร ปลดคน คุมค่าใช้จ่าย ทำให้ต้องตัดสินใจปิดบริการที่ไม่สำคัญออกไป

Mozilla ยืนยันว่าจะยังคงบริการกลุ่ม VPN และ Firefox Monitor ตัวเฝ้าระวังรหัสผ่านหลุด-ข้อมูลรั่วไหล ต่อไป

Tags:
Node Thumbnail

ทวิตเตอร์ประกาศว่า จะส่งคำเตือนผ่านแอปไปยังบัญชีนักการเมือง ผู้ว่าการรัฐ สำนักข่าว นักข่าวการเมือง หรือบัญชีผู้ใช้งานที่เป็นผู้เกี่ยวข้องกับการเลือกตั้งสหรัฐฯ โดยตรง ให้เปลี่ยนรหัสผ่านที่คาดเดาได้ยากขึ้น เพื่อความปลอดภัยในช่วงเลือกตั้งสหรัฐฯ ในต้นเดือนพฤศจิกายน และป้องกันไม่ให้เกิดเหตุการณ์คนดังในทวิตเตอร์ถูกแฮ็กอย่างกว้างขวาง

Tags:
Node Thumbnail

ทีมวิจัยจากบริษัท Secura ปล่อยสคริปต์ตรวจสอบช่องโหว่ CVE-2020-1472 หรือชื่อเล่น Zerologon ที่ไมโครซอฟท์ปล่อยแพตช์มาตั้งแต่เดือนสิงหาคม พร้อมกับรายงานวิเคราะห์ว่าการโจมตีช่องโหว่นี้ทำงานอย่างไร และทางบริษัท RiskSense Inc. นำไปแก้ไขต่อจนเป็นสคริปต์ทดสอบการโจมตี ทำให้ตอนนี้ช่องโหว่ CVE-2020-1472 นี้มีโค้ดต่อสาธารณะแล้ว หากใครยังไม่ได้แพตช์ควรรีบแพตช์โดยเร็ว

รายงานของ Secura แสดงให้เห็นว่าแฮกเกอร์สามารถอาศัยช่องโหว่ CVE-2020-1472 นี้เพื่อยึดสิทธิ์ Domain Admin ได้ ทำให้องค์กรที่ใช้ Active Directory ตกอยู่ในความเสี่ยงอย่างร้ายแรง

Tags:
Node Thumbnail

Zoom เปิดใช้งานการยืนยันตัวตนแบบสองขั้นตอน (two-factor authentication) ในทุกบัญชีการใช้งานแล้ว เพื่อป้องกันไม่ให้เกิดเหตุการณ์แบบ zoombombing หรือการที่คนอื่นเข้ามาป่วนการประชุมได้อีก

Tags:
Node Thumbnail

Yubico เปิดตัวกุญแจ YubiKey 5C NFC ตัวใหม่ในไลน์ YubiKey 5 ที่เป็นการรวมเอารุ่น YubiKey 5C ที่เป็นหัว USB-C และ YubiKey 5 NFC ที่รองรับ NFC เข้าด้วยกัน

YubiKey 5C NFC รองรับโปรโตคอลยืนยันตัวตนไม่ต่างจาก YubiKey 5 รุ่นอื่น ๆ คือ FIDO2, FIDO, WebAuthn, smart card (PIV) , Yubico OTP, OpenPGP, OATH-TOTP, OATH-HOTP และ Challenge-Response วางจำหน่ายที่ราคา 55 เหรียญ (ราว 1,700 บาท)

ที่มา - Yubico

Tags:
Node Thumbnail

NTT Docomo ผู้ให้บริการเครือข่ายโทรศัพท์มือถือในญี่ปุ่น และยังให้บริการ e-Wallet หยุดรับลูกค้าใหม่หลังพบว่าลูกค้าถูกขโมยเงินออกจากบัญชีเป็นวงกว้าง โดยบริษัทยังไม่เปิดเผยว่าคนร้ายใช้ช่องโหว่ใดในการโจมตี แต่ผู้อำนวยการ Hiromitsu Takagi นักวิจัยความมั่นคงปลอดภัยไซเบอร์ก็ระบุว่าคนร้ายอาจจะอาศัยการไล่สุ่มเลขรหัส PIN ของธนาคารไปเรื่อยๆ โดยยังมีความเป็นไปได้อื่น เช่น คนร้ายอาจจะส่งอีเมลฟิชชิ่งหลอกเอารหัสจากเหยื่อ

Tags:
Node Thumbnail

เมื่อวันจันทร์ที่ผ่านมาโรงพยาบาลสระบุรีประกาศว่าระบบคอมพิวเตอร์ขัดข้องจนกระทั่งไม่สามารถใช้งานได้ ทำให้ทางโรงพยาบาลต้องขอให้ผู้มารับบริการนำเอกสาร รวมถึงรายการยาเดิมและตัวยาเดิมมารับบริการด้วย

คุณ Jarinya Jupanich แพทย์ที่โรงพยาบาลโพสเปิดเผยว่าสาเหตุเกิดจากระบบคอมพิวเตอร์ถูกมัลแวร์เรียกค่าไถ่โจมตี ทำให้ข้อมูลสูญหาย และไฟล์สำรองที่มีอยู่ไม่ถึงปัจจุบัน คาดว่ามัลแวร์ที่ติดมาเป็น VoidCrypt (.spade)

Tags:
Node Thumbnail

แนวทางการลดอายุใบรับรองการเข้ารหัสเว็บเป็นแนวทางที่ต่อเนื่องกันมาในช่วงห้าปีที่ผ่านมา จากเดิมสมัยก่อนที่เราเคยซื้อใบรับรองเข้ารหัสอายุยาวนานถึง 8 ปีได้ ในปี 2015 CA/Browser Forum ก็ลดเพดานอายุใบรับรองเหลือ 39 เดือน และในปี 2017 ก็ลดเพดานลงเหลือ 825 วัน วันนี้ก็เป็นวันสุดท้ายของการซื้อใบรับรองอายุ 2 ปี เนื่องจากใบรับรองที่ออกวันที่ 1 กันยายนเป็นต้นไป หากมีอายุเกิน 397 วันจะใช้งานกับเบราว์เซอร์หลักทั้ง Chrome, Firefox, และ Safari ไม่ได้อีกต่อไป

Tags:
Node Thumbnail

นักวิจัยจาก ETH Zurich รายงานถึงช่องโหว่ของโปรโตคอล EMV ที่ใช้ในบัตรเครดิตยอดนิยมทั่วโลก โดยช่องโหว่เปิดทางให้คนร้ายที่ขโมยบัตรไป สามารถจ่ายบิลที่วงเงินสูงๆ ได้โดยไม่ต้องใช้รหัส PIN แม้ตัวบัตรเครดิตจะกำหนดเพดานที่หากยอดจ่ายเกินเพดานจะต้องใช้ PIN ไว้ก็ตาม

สำหรับผู้ใช้บัตรเครดิตในไทยอาจจะไม่ชินนักเนื่องจากการยืนยันจ่ายเงินผ่านบัตรใช้ลายเซ็น แต่ในยุโรปหากวงเงินน้อยๆ การจ่ายแบบ Contactless จะสามารถแตะจ่ายได้ทันที แต่หากยอดชำระสูงขึ้นตัวเทอร์มินัลก็จะขึ้นถามรหัส PIN เพื่อยืนยันอีกครั้ง

Tags:
Node Thumbnail

เมื่อวานนี้ผู้ใช้แอป Microsoft Teams จำนวนมากได้รับ notification ประหลาด ข้อความจำนวนมากระบุว่าเป็นการทดสอบ วันนี้ทางเว็บ The Register ก็พูดคุยกับ Abhishek Dharani นักวิจัยความปลอดภัยที่เพิ่งรายงานช่องโหว่กุญแจ Firebase Cloud Messaging (FCM) หลุดไปกับตัวแอป โดย Dharani คาดว่ามีคนอื่นอ่านรายงานช่องโหว่ของเขาแล้วนำไปทดสอบกับแอปอื่นๆ

ช่องโหว่นี้เป็นช่องโหว่ของแอปที่เก็บรักษากุญแจ FCM ผิดพลาด โดยติดกุญแจไปกับตัวแอปจนคนร้ายสามารถดึงออกมาจากไฟล์ APK บนแอนดรอยด์ได้ แม้แต่กูเกิลเองก็พลาดในเรื่องนี้จน Dharani สามารถดึงกุญแจสำหรับแอป Google Hangouts และ Google Play Music ออกมาได้ ทำให้กูเกิลจ่ายเงินรางวัลสำหรับรายงานช่องโหว่ถึง 30,000 ดอลลาร์

Tags:
Node Thumbnail

Allison Husain นักวิจัยความปลอดภัยรายงานถึงช่องโหว่ระบบตรวจสอบที่มาอีเมล SPF และ DMARC และการส่งต่ออีเมลของบริการ G Suite ที่ทำให้คนร้ายสามารถปลอมอีเมลเป็นอีเมลจากเหยื่อที่เป็นลูกค้า G Suite ได้อย่างแนบเนียน Allison ระบุว่าได้รายงานช่องโหว่นี้ให้กูเกิลรับรู้ตั้งแต่ 3 เมษายนที่ผ่านมา แต่กูเกิลกลับทิ้งช่องโหว่นี้ไว้นานกว่าสี่เดือน ทำให้ Allison ตัดสินใจเขียนบล็อกเปิดเผยช่องโหว่และกูเกิลก็แพตช์ช่องโหว่นี้ในไม่กี่ชั่วโมง

Tags:
Node Thumbnail

Google เตรียมยกระดับความปลอดภัย Chrome ขึ้นไปอีกขั้นให้แสดงว่าไม่ปลอดภัยหากกำลังกรอกฟอร์มประเภท mixed forms ที่ไม่ได้ส่งผ่าน HTTPS

ปัจจุบัน เมื่อ Chrome เจอ mixed form จะใช้วิธีหยุดแสดงไอคอนกุญแจที่ใช้กับ HTTPS แต่ทีมความปลอดภัยของ Chrome เห็นว่ายังไม่เพียงพอเพราะว่าข้อมูลที่ส่งยังเป็นแบบไม่ปลอดภัย จึงต้องยกระดับการแจ้งเตือนให้ชัดเจนกว่านี้

Tags:
Node Thumbnail

ที่งานประชุมวิชาการ USENIX ปีนี้ ทีมวิจัยจากมหาวิทยาลัย The University of Electro-Communications ในญี่ปุ่นและมหาวิทยาลัยมิชิแกน รายงานถึงการใช้เลเซอร์ยิงคำสั่งเข้าลำโพงอัจฉริยะ เช่น Google Home หรือ Amazon Echo เพื่อส่งคำสั่งจากนอกบ้าน นับเป็นการสาธิตถึงความเสี่ยงที่คนร้ายอาจจะควบคุมบ้านได้จากนอกบ้าน

งานวิจัยอาศํยโครงสร้างของไมโครโฟนแบบ MEMS ที่ใช้งานกันเป็นปกติ โดยชิปไมโครโฟนเหล่านี้ออกแบบให้ตรวจจับความเปลี่ยนแปลงของค่าการเก็บประจุของแผ่นไมโครโฟน แต่วงจรของชิปเองก็มีความไวต่อแสง เมื่อยิงแสงความเข้มสูงเข้าไปยังตัวชิปก็จะสามารถกระตุ้นให้เกิดสัญญาณในวงจร โดยวงจรอ่านค่าเสียงก็มักอ่านค่าแล้วส่งเข้าไปยังซอฟต์แวร์เหมือนเป็นสัญญาณเสียงปกติ

Tags:
Node Thumbnail

สถาบัน SANS องค์กรที่ให้บริการด้านความปลอดภัยไซเบอร์และออกใบรับรองด้านความปลอดภัยรายงานถึงเหตุการณ์ข้อมูลหลุดเนื่องจากทางองค์กรถูกโจมตีแบบฟิชชิ่ง ทำให้บัญชีของพนักงานที่ถูกโจมตีส่งต่ออีเมลไปยังคนร้าย โดยรวมมีข้อมูลถูกส่งออกไป 28,000 รายการ

คนร้ายอาศัยการหลอกว่าเป็นไฟล์ Excel แชร์มาทาง Office 365 แต่เมื่อเปิดดาวน์โหลดจะกลายเป็นการติดตั้งส่วนขยาย Office 365 แล้วตั้งฟิลเตอร์สำหรับส่งต่ออีเมล ฟิลเตอร์ตั้งหามุ่งเน้นหาข้อมูลการจ่ายเงิน โดยกรองคำสำคัญเช่น ธนาคาร (bank), โอนเงิน (transfer), การจ่ายเงิน (payment) ฯลฯ จนคนร้ายได้รับอีเมลทั้งหมด 513 ฉบับ จากพนักงานของ SANS คนเดียว

Tags:
Node Thumbnail

ความควายกำลังเข้ามาแทรก TikTok ท่ามกลางสถานการณ์ความวัวที่ยังไม่หาย เมื่อ WSJ รายงานการค้นพบว่า TikTok เคยแอบใช้ช่องโหว่ของ Android เก็บเลข MAC Address ของผู้ใช้งาน เป็นระยะเวลาไม่ต่ำกว่า 15 เดือน ก่อนจะเลิกเก็บไปในอัปเดตเมื่อวันที่ 18 พฤศจิกายนปีที่แล้ว

WSJ ระบุว่าได้ตรวจสอบแอป TikTok ทั้งหมด 9 เวอร์ชันที่ปล่อยขึ้น Play Store ตั้งแต่เดือนเมษายน 2018 จนถึงมกราคม 2020 โดยตรวจสอบพฤติกรรมการเก็บข้อมูลของแอปหลังติดตั้งและเปิดใช้งานครั้งแรกเป็นหลัก ซึ่งนอกจาก MAC Address แล้ว WSJ บอกว่าไม่พบการเก็บข้อมูลอะไรที่ผิดปกติ นอกจากกระบวนการเข้ารหัสอีกขั้น (นอกจากเหนือจากโปรโตคอลเข้ารหัสในการส่งข้อมูลตามมาตรฐานเพื่อป้องกันการดักข้อมูล) ที่ครอบทับการส่งข้อมูลที่ถูกเก็บข้างต้น ซึ่ง WSJ สงสัยว่ามันไม่มีความจำเป็นที่จะต้องทำ เพราะไม่ได้เพิ่มความปลอดภัยใด ๆ นอกจากเพื่อหลบเลี่ยงการตรวจพบ

Tags:
Node Thumbnail

ไมโครซอฟท์รายงานถึงโครงการจ่ายเงินรางวัลสำหรับรายงานช่องโหว่ในปีที่ผ่านมา (นับจากเดือนกรกฎาคม 2019 ถึงสิ้นเดือนมิถุนายน 2020) โดยจ่ายรางวัลรวม 13.7 ล้านดอลลาร์หรือมากกว่า 400 ล้านบาทเพิ่มขึ้นมากกว่าสามเท่าตัวจากปีที่แล้ว

นักวิจัยที่ส่งรายงานไปยังไมโครซอฟท์และได้รางวัลรวม 327 คน เป็นรายงานจำนวน 1,226 ชิ้น ชิ้นที่ได้รางวัลสูงสุดได้ไป 2 แสนดอลลาร์ โดยความเปลี่ยนแปลงของตัวโครงการเองก็มีหลายส่วน เช่น การเพิ่มโครงการที่ให้รางวัลเพิ่มขึ้นเรื่อยๆ แม้แต่ Windows Insider ที่เป็นสถานะพรีวิวก็สามารถรายงานช่องโหว่ได้

Tags:
Node Thumbnail

กรรมการการแข่งขันทางการค้าและการปกป้องผู้บริโภคออสเตรเลีย (Australian Competition and Consumer Commission - ACCC) ยืนยันไม่สอบสวนธนาคารที่แจ้งเตือนลูกค้าไม่ให้ใส่รหัสผ่านล็อกอินธนาคารในแอปฟินเทคเพื่อดูดข้อมูลบัญชีออกจากธนาคาร หลังจากมีบริษัทฟินเทคไม่เปิดเผยชื่อได้ร้องเรียนไปยัง ACCC ว่าการที่ธนาคารแจ้งเตือนเช่นนี้เป็นการทำลายการแข่งขัน

ธนาคารหลายชาติไม่ได้เปิดช่องทางการดาวน์โหลดข้อมูลออกจากระบบ ทำให้บริการฟินเทคที่ต้องการข้อมูลบัญชีผู้ใช้เพื่อให้บริการจัดการทางการเงินอาศัยการดูดเว็บ (screen scraping) โดยผู้ใช้ต้องมอบชื่อผู้ใช้และรหัสผ่านให้กับบริการฟินเทคเหล่านั้นไปโดยตรง เพื่อให้บริการฟินเทคไปล็อกอินและดาวน์โหลดข้อมูลออกมา

Tags:
Node Thumbnail

เฟซบุ๊กเปิดตัวโครงการ Pysa (Python Static Analyzer, อ่านว่าพิซา แบบเดียวกับ Pisa) เป็นซอฟต์แวร์สำหรับวิเคราะห์ความปลอดภัยของโค้ดภาษาไพธอนโดยมุ่งหาเฉพาะช่องโหว่ที่มีความเสี่ยงจริง ไม่ใช่การวิเคราะห์โค้ดไปทั้งหมดจนเกิดการรายงานช่องโหว่เกินความเป็นจริง

Tags:
Node Thumbnail

บริษัทความปลอดภัยไซเบอร์ Check Point รายงานถึงช่องโหว่ของซอฟท์แวร์สำหรับใช้วงจร DSP (digital signal processing) ในชิป Qualcomm ที่เปิดทางให้แฮกเกอร์แฮกอุปกรณ์ที่ใช้ชิปและซอฟต์แวร์เหล่านี้ สามารถฝังโค้ดมุ่งร้ายไว้ภายในโดยมองไม่เห็นจากระบบปฎิบัติการ ส่งผลให้โทรศัพท์แอนดรอยด์จำนวนมากที่ใช้ชิป Qualcomm มีความเสี่ยง

DSP เป็นส่วนเร่งความเร็วของซีพียูสำหรับงานเฉพาะทางหลายอย่าง เช่น เร่งความเร็วในการเล่น/บันทึกวิดีโอ, ประมวลผลภาพแบบ augmented reality, หรือการประมวลผลเสียง ผู้ผลิตชิปที่ออกแบบวงจร DSP มาเฉพาะมักให้ซอฟต์แวร์ไลบรารีให้กับผู้ผลิตอุปกรณ์มาพร้อมกัน โดยทั้งชิปและซอฟต์แวร์เป็นความลับของผู้พัฒนาชิปทำให้กระบวนการตรวจสอบค่อนข้างยาก

Tags:
Node Thumbnail

AgileBits ผู้พัฒนา 1Password โปรแกรมจัดการรหัสผ่านชื่อดังออกโปรแกรมในเวอร์ชั่นลินุกซ์ โดยระบุว่าเป็นเวอร์ชั่นพรีวิวแม้จะมีฟีเจอร์หลักๆ ครบถ้วนแล้วก็ตาม

ทาง AgileBits ออกโปรแกรมโดยรองรับแพ็กเกจทั้ง deb และ yum สำหรับดิสโทรตระกูล Red Hat และ Debian, รองรับการปรับธีมมืด/สว่างตามคอนฟิก GTK, สามารถผูกโปรแกรมเข้ากับบัญชีลินุกซ์, และทำงานร่วมกับ clipboard ของ X11 ได้ โดยตัวโปรแกรมพัฒนาด้านหลังด้วยภาษา Rust และหน้าจอด้วย React

ทางบริษัทประกาศแจกบัญชีให้ฟรีสำหรับทีมงานโครงการโอเพนซอร์สที่ไม่มีองค์กรธุรกิจหนุนหลัง เพียงแค่เปิด Pull Request กับ repo ของทางบริษัท

Tags:
Topics: 
Node Thumbnail

ก่อนหน้านี้แอปเปิลได้เสนอมาตรฐาน SMS สำหรับส่งรหัสแบบใช้ครั้งเดียวเพื่อให้แอปสามารถอ่านรหัสได้จาก SMS โดยตรง และเติมรหัสให้กับผู้ใช้งานอัตโนมัติ และในตอนนี้ จากเอกสารบนเว็บไซต์ผู้พัฒนาของแอปเปิล พบว่าแอปเปิลได้เพิ่มระดับความปลอดภัยในการเติมรหัสผ่านแบบใช้ครั้งเดียวให้อัตโนมัติ โดยจะมีการตรวจสอบโดเมนที่ระบุอยู่ใน SMS กับโดเมนที่แอป หรือเว็บไซต์ว่าตรงกันหรือไม่ ก่อนที่จะให้เติมรหัสผ่านให้อัตโนมัติ โดยสามารถใช้ได้บน iOS 14 และ macOS Big Sur

Tags:
Node Thumbnail

SonarSource ผู้พัฒนาซอฟต์แวร์ตรวจคุณภาพโค้ด SonarQube เขียนบล็อกชี้แจงหลังมีนักวิจัยพบว่าซอร์สโค้ดของหลายองค์กรหลุดออกมาจากเซิร์ฟเวอร์ SonarQube ในบริษัท โดยระบุว่าองค์กรที่ติดตั้ง SonarQube ในองค์กรควรตรวจสอบคอนฟิกให้เหมาะสมกับการใช้งาน เนื่องจากคอนฟิกเริ่มต้นนั้นจะเปิดโครงการเป็นสาธารณะ

ผลกระทบจากการเปิดโครงการเป็นสาธารณะและยังเปิดให้เข้าถึง SonarQube จากอินเทอร์เน็ตจะทำให้คนนอกองค์กรเข้าถึงซอร์สโค้ดได้ และกลายเป็นช่องโหว่ขององค์กรไปเสียเอง โดยก่อนหน้านี้ผู้ใช้ทวิตเตอร์ @deletescape ได้รายงานถึงเหตุซอร์สโค้ดหลุดจำนวนมาก

Tags:
Node Thumbnail

บริษัทวิจัยความปลอดภัย Cyber R&D Labs รายงานถึงช่องโหว่จากการตรวจสอบบัตรเครดิตของสถาบันการเงินหลายแห่ง เปิดทางให้แฮกเกอร์สามารถสร้างสำเนาบัตรได้แม้จะเป็นบัตรชิปก็ตาม

บัตรแม่เหล็กนั้นมีข้อมูลทั้งหมดของตัวบัตรอยู่ในแถบแม่เหล็กรวมถึงตัวเลขยืนยันบัตร CVV ที่ไม่ได้พิมพ์อยู่บนตัวบัตร ขณะที่บัตรชิปนั้นจะเป็นตัวเลข iCVV ที่ควรจะเป็นคนละเลขกับในบัตรแม่เหล็ก แต่ Cyber R&D Labs สาธิตให้เห็นว่าหลายธนาคารไม่ได้ตรวจสอบตัวเลขนี้จริง โดยทีมงานสามารถนำเลข iCVV กลับไปสร้างบัตรแม่เหล็ก แล้วรูดจ่ายเงินสำเร็จได้

Pages